Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke

Über eine Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt lassen sich Windows-Server lahmlegen. Project Zero veröffentlichte die Sicherheitslücke nach 90 Tagen. Patches von Microsoft sollen erst im Juli folgen.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe.
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe. (Bild: Gerd Altmann)

Seit über 90 Tagen weiß Microsoft von einer Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt. Trotzdem wurde die Lücke bisher nicht geschlossen. "Heute ist Tag 91, also ist die Lücke jetzt öffentlich. Ich halte den Schweregrad für relativ niedrig, aber man kann damit relativ einfach eine ganze Windows-Flotte ausschalten. Es lohnt sich also, sich dessen bewusst zu sein", schreibt der Entdecker Tavis Ormandy von Googles Sicherheitsinitiative Project Zero auf Twitter. Nach den Richtlinien des Projekts hat ein Hersteller 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Stellenmarkt
  1. Senior Software Developer (m/w / divers)
    Eurowings Aviation GmbH, Köln
  2. IT-Security Specialist (w/m/d) Netzwerktechnik
    Dataport, verschiedene Standorte
Detailsuche

Symcrypt wird von Windows 8 standardmäßig für symmetrische Verschlüsselungsfunktionen verwendet. Seit Oktober 2017 nutzt Windows 10 Symcrypt standardmäßig für alle kryptographischen Funktionen. Mit Hilfe eines präparierten X.509-Zertifikats lässt sich eine endlose Rechenoperation triggern, welche für einen Denial-of-Service-Angriff (DoS) genutzt werden kann.

"Ich habe festgestellt, dass das Einbetten des Zertifikats in eine S/MIME-Nachricht, eine Authenticode-Signatur, eine Schannel-Verbindung usw. jeden Windows-Server (z. B. IPsec [VPN], IIS [nternet Information Services], Exchange usw.) zum Erliegen bringt und (je nach Kontext) das Rebooten der Maschine erfordern kann", schreibt Ormandy in einem Bugreport. Viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie Antivirenprogramme), würden diese Routinen aufrufen - und könnten damit das System zum Stillstand bringen. Neben der Fehlerbeschreibung veröffentlicht Ormandy auch ein Proof-of-Concept-Zertifikat (PoC), mit dem das Problem nachvollzogen werden kann.

Ormandy hatte die Sicherheitslücken bereits im März vor der Open-Source-Veröffentlichung von Symcrypt gemeldet. Der Code der Software steht seit April auf Github. Microsoft will laut Ormandy erst im Juli Patches für die Sicherheitslücken veröffentlichen, da beim Testen Probleme aufgetreten seien.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Xiaomi Watch S1 Active im Test
Wenn sich beim Joggen der Schlafmodus meldet

Eine günstige Sportuhr mit gutem GPS-Modul - das wäre was! Leider hat die Watch S1 Active von Xiaomi zu viele Schwächen, um Spaß zu machen.
Von Peter Steinlechner

Xiaomi Watch S1 Active im Test: Wenn sich beim Joggen der Schlafmodus meldet
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
    Strange New Worlds Folge 1 bis 3
    Star Trek - The Latest Generation

    Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
    Eine Rezension von Oliver Nickel

  3. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /